esp@cenet - Document Biblk^aphy and Abstract 



Page 1 of 1 



Process for the control of secret keys between two smart cards 



Patent Number: 



E US5602915 
1997-02-11 

CAMPANA MIREILLE (FR); GILBERT HENRI (FR); ARDITTI DAVID (FR) 
FRANCE TELECOM (FR) 

n EP0613105 . Bl 
Application Number: US1 9940201 979 19940225 
FR1 99300021 52 19930225 
H04L9/08 ; H04L9/00 
G07F7/10D4E2 . H04L9/08 

DE69408176D, DE69408176T, □ FR2702066 



Publication date: 
Inventor(s): 
Applicant(s):: 
Requested Patent: 



Priority Number(s): 
IPC Classification: 
EC Classification: 
Equivalents: 



Abstract 



A process for controlling communication between a first and a second smart card using key-based 
cryptography is provided. In the disclosed process, a first identity code is stored in the first smart card and a 
second identity code is stored in the second smart card. The smart cards are customized by writing into 
each of the smart cards an identical group secret key and respective algorithms for processing the identical 
group secret key and the first and second identity codes stored in the first and second smart cards, 
respectively. The smart cards are used by transmitting the first identity code to the second smart card, 
transmitting the second identity code to the first smart card, and calculating using the respective processing 
algorithms stored in the smart cards, first and second session keys for the first and second smart cards, 
respectively. 
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Gebiet der Erfindung 

Die Erfindung betrifft ein Verfahren zum Verwalten der 
Geheimschltlssel zwischen zwei Chipkarten. 

Die Chipkarten entwickeln sich gegenwartig sehr stark 
als Dat en- Authent if i z i erungs- und -Zertif izierungsmittel, insbe- 
sondere aufgrund ihrer Fahigkeit, Geheimdaten zu speichern. 

Das Gebiet der Erfindung umfaBt alle diese zur Daten- 
Authent if izierung und -Zertif izierung benutzten Kartentypen, die 
dazu bestimmt sind, durch ein Ihf ormatiksytem gelesen zu werden, 
das einen Chipkartan-Leser umfaBt* Diese Chipkarten konnen z*B* 
•Tenninalkarten vie die Telekopierer- oder Bankom at-Cliipjcarten 
se in / die mittels eines Durchschalt- bzw. Wahlnetzwerks dia- 
logieren. ' 

Diese Chipkarten werden in der Folge einfach "Karten" 

genannt * 

Stand der Technik 

Bei den meisten Karten- 1 nfonnatiksystemen ist es 
iiblich, einen zentralen Informatik-Server zu verwenden, der fahig 
ist, "Mutterkarten" genannte Chipkarten zu lesen. An diesen 
zentralen Server sind • eine Vielzahl von Inf ormatikterminals 
angesehlossen, die "Tochterkarten" genannte Sekundarkarten lesen 
konnen. Diese Terminals sind dann einer sternf ormigen Architektur 
entsprechend an den zentralen Server angesehlossen- Nach dieser 
sternf ormigen Architektur kann der Dialog nur zwischen der 
Mutterkarte und einer der Tochterkarten hergestellt werden, Zwei 
Tochterkarten konnen nicht miteinander dialogieren, d.h,. unter- 
einander Pa ten au stausc hen. 

Ein Inf ormatiksystem mit einer derartigen Architektur 
ermoglicht auch, gesicherte Transaktionen zwischen den 
Tochterkarten und der Mutterkarte durchzuf uhren, aber es 



ermoglicht keine gesicherte gegenseitige Transaktion zwischen zwei 
Tochterkarten, 

Ein solches Inf ormatiksystem hat eberif alls den 
Nachteil, daB beim Erstellen eines gemeinsamen Sessions- bzw, 
Sitzungsschliissels zwischen zwei Karten jede dieser Karten einen 
personlichen VGeheimschliissel besitzt, der mit dem * Geheimschlussel 
der anderen Karte, mit der man einen gemeinsamen Sessionsschlussel 
erstellenmochte, identisch ist. 

Ein solches Inf ormatiksystem mit einer Mikroprozessor— 
karte, die einen kryptographischen Algorithmus anwendet, wird in 
den f ranzosischen Patentanmeldungen FR-2 601 795 und FR-2 469 760 
beschrieben. Diese Patentanmeldungen beschreiben riamlich Vor- 
richtungen, die ein Dialogverf ahren zwischen einer Mutterkarte und 
Tochterkarten anwenden, die als sternformiges Netz organisiert 
sind. Die durch diese Verf ahren durchf uhrbaren Operationen konnen 
f olglich zwischen einer Mutterkarte und den Tochterkarten nur mit 
Hilfe der Geheimschlussel durchgefiihrt werden,. die man durch 
.Diversif ikation des Mutter-Schliissels (Geheimschlussel der 
Mutterkarte) erhalt. Jeder derart erhaltene Geheimschlussel ist 
das Resultat einer Berechnung,. wobei der Mutterschliissel und ein 
Eigenparameter derjenigen Tochterkarte verrechnet werden, mit der 
die Mutterkarte dialogieren will. Ein solches Inf ormatiksystem 
ermdglicht f olglich nicht das Durchf iihren eines Verfahrens, das 
einen gemeinsamen Sessionsschliissel zwischen zwei Tochterkarten 
benutzt. 

Andere klassische Inf ormatiksysteme werden insbesondere 
in dem Dokument EP-A-0 4 22 230 beschrieben, 

Durch dieses Dokument EP-A-0 422 230 kennt man ein Ver- 
waltungsverf ahren von Geheimschliisseln zwischen einer ersten und 
einer zweiten Chipkarte, bei dem ein erster Identitatscode in der 
ersten Karte abgespeichert ist und ein zweiter Identitatscode in 
der zweiten Karte abgespeichert ist und das durch die f olgenden 
Phasen gebildet wird: 

• eine Persona lis i erungsphas e , folgende Schritte umfassend: 

- Einschreiben desselben Gruppengeheimschlvissels in jede der 
Chipkarten; 



3 



- Einschreiben eines Verarbeitungsalgorithmus des Gruppen- 
geheimschlussels unci der Identitatscodes in jede der 
Chipkarten ; 

* eine Benutzungsphase, folgende Schritte umfassend: 

- Ubertragen des ersten Identitatscodes zur zweiten Chip- 
karte; 

- tJbertragen des zweiten Identitatscodes zur ersten Chip- 
karte; 

- Berechnen, durch die Verarbeitungsalgorithmen, eines ersten 
und eines zweiten Sessions- bzw. Sitzungsschliissels jeweils 
in der ersten und der zweiten Chipkarte. 

Ein weiteres bekanntes Inf ormatiksy stem wird in einem 
Jcurzen kommerziellen Hinweis der gemeinsamen Zentrale von FRANCE 
TELECOM und von TDF, CCETT beschrieben* Dieses Inf ormatiksystem 
umfaBt eine Multiservice-Mikroprozessorkarte> bekannt unter der 
Handelsbez eichnung "Mimosa" Eine solche Multiservice-Mikropro- 

zessorkarte benutzt einen Algorithmus mit offentlichem Schlussel. 
Zwei Kar ten dieses Typs s ind fahig, sich gegenseitig zu 
authenti f izieren. Sie konnen Signaturen aussenden und zertifi— 
zieren, indem sie den Algorithmus mit offentlichem Schltissel 
benutzen, der auf der Identitat beruht. Ein solcher Algorithmus 
mit offentlichem Schlussel ermoglicht ebenfalls das Erstellen 
eines Sessionsschlussels zwischen zwei Karten. Dieser Algorithmus 
wendet auf Zahlen von mehreren hundert Bits arithmetische 
Operationen an (Multiplikationen, Potenzen, Divisionen) , wobei 
diese Rechenkomplexitat zur Folge hat, daB die Herstellung dieser 
Karten Hochleistungskomponenten erf orderlich macht, die 
gegenwartig noch sehr teurer sind. 

Darstelluna der Erf induncr 

Die Aufgabe der vorliegenden Erfindung besteht darin, 
die Nachteile der vorhergehehd beschriebenen Inf ormatiksysteme zu 
beseitigen, indem sie ein Geheimschlussel-Verwaltungsverf ahren 
vorschlagt, dessen Anwendung einfach und relativ kostengunstig 
1st, 

Zu diesem Zweck hat sie ein Geheimschlussel- 
Verwaltungsverf ahren zwischen zwei Chipkarten zum Gegenstand, bei 



em erster Identitatscode i n der ersten Chipkarte 
a bgespeichert ist und ein zveiter Identitatscode in d er zweiten 
Chipkarte abges peichert: ist. Dieses Verfahren wird durch die 
folgenden Phasen gebildet: 

• eine Persorialisierungsphase, folgende Schritte umfassend: 

- Einschreiben eines Verarbeitungsalgcrithmus des Gruppen- 
geheimschlussels und der Identitatscodes in jede der 
Chipkarten; 

- Einschreiben desselben Gruppengeheimschliissels in jede der 
Chipkarten; 

♦ eine Benutzungsphase , folgende Schritte' umfassend: 

. - Ubertragung des ersten Identitatscodes zur zweiten Chip- 
karte; 

- tjbertragung des zweiten Identitatscodes zur ersten Chip- 
karte; ■ - 

- Ubertragung derselben Zufallszahl zu jeder Chipkarte; 

- Berechnung, durch den Verarbeitungsalgorithmus, eines er- 
sten und eines zweiten Sessionsschliissels, jeweils in der 
ersten und der zweiten Chipkarte, in jeder der Chipkarten 
aus folgenden Schritten bestehend: 

- Anwendung eines Diversif ikationsalgorithmus aufgrund des 
ersten und zweiten Identitatscodes und des Gruppen- 
geheimschliissels, urn eine Geheixnzahl zu bestimmen; 

- Anwendung eines Sessionsschlussel-Berechnungsalgorithmus 
aufgrund der Zufallszahl und der Geheimzahl. 

Nach einer Ausf uhrungsart der Erfindung besteht der 
Diversif ikationsalgorithmus darin: 

- eine erste Geheimzahl festzulegen aufgrund des ersten Identi- 
tatscodes und des in jeder Chipkarte gespeicherten Gruppen- 
geheimschlxissels , 

- eine zweite Geheimzahl festzulegen aufgrund des zweiten Identi- 
tatscodes und des Gruppengeheimschliissels , 

- durch eine kommutative Operation die erste und die zweite 
Geheimzahl zu kombinieren, urn die Geheimzahl zu erhalten, wobei 
diese kommutative Operation eine Addition sein kann. 



Nach der bevorzugten Ausf iihrungsart der Erfindung sind 
der Diversif ikationsalgorithmus und der Sessionsschlussel* 
Berechnungsalgorithmus der ersten und der zweiten Chipkarte 
identisch, wobei die fur die erste und die zweite Chipkarte 
erhaltenen Sessionsschliissel dann identisch sind. 

Dieses Verfahren hat folglich den Vorteil, daB zwei 
Chipkarten fShig sind, miteinander zu dialogieren und sich durch 
Benut2ung ihres Sessionsschliissels bei einer Authentif izierungs- 
operation gegenseitig zu authentif izieren. 

Da aufierdem nur die Identitatscodes von einer Ka:rte zur 
anderen iibertragen werden, konnte ein Eindringling, der die 
Kommunikationen zwischen den beiden Karten iiberwacht, den 
Sessionsschliissel am Ende des Protokolls nicht wiederherstellen, 
da dieser Eindringling durch das AbhSren nicht den Gruppen- 
geheimschliissel kennen kann, da dieser zwischen den Karten nicht 
iibertragen wird. 

Dieses Verfahren hat ebenfalls den Vorteil, daB eine 
andere. Karte mit demselben Gruppengeheimschlussel wie die 
kommunizierenden Karten den Sessionsschliissel dieser Karten nicht 
bestimmen kann, da dieser Schliissel von den beiden Identitatscodes 
abhangt, von denen der eine notwendigerweise in der Karte 
abgespeichert ist. 

Kurze Beschreibunq der Zeichnuncr 

Die beigefiigte einzige Figur stellt das Funktionsschema 
zur Erstellung eines zwei Chipkarten gemeinsamen Sessions- 
schliissels dar. 

Detail! ierte Darstelluncr von Ausf iihrungsart en der Erfindung 

In der Figur ist das Funktionsschema der Erstellungs- 
operation des den beiden Chipkarten CI und C2 gemeinsamen 
Sessionsschliissels dargestellt* Zum besseren Verstandnis der 
Erfindung ist der mittels def' Karte CI erstellte Sessionsschliissel 
mit SI bezeichnet und der mittels der Karte C2 erstellte Sessions- 
schliissel mit S2. Ura derartige Sessionsschliissel SI und S2 zu 
erstellen, lief ert das Inf ormatiksystem an jede der Karten CI und 
C2 eine Zufallszahl NA. AuBerdem gehort jede der Karten zu einer 
Gruppe, d.h. daB jede der Karten zu einem System von Karten 



gehort, die miteinander kommunizieren miissen. Noch genauer: eine 
Gruppe stellt die Gesamtheit der Korrespondenten dar, die mitein- 
ander koimnunizieren miissen, wobei diese Kommunikation paarweise 
erf olgt und : geschutzt ist gegenuber den anderen Korrespondenten 
der Gruppe lind gegenuber Korrespondenten auBerhalb der genannten 
Gruppe. Jede*T der Chipkarten CI und C2 besitzt auBer dieser vbm 
System empfahgenen Zufallszahl NA einen Gruppengeheimschliissel, 
mit G bezeichnet. Dieser Gruppengeheimschliissel ist identisch fur 
jede der Karten derselben Gruppe, 

AuBerdem besitzt jede der Karten dieser Gruppe (namlich 
die Karten CI und C2 in der Figur) einen personlichen 
Identitatsschliissel, fur die Karte CI mit ID1 bezeichnet und fur 
die Karte C2 mit ID2 . Die Identitatscodes ID1 und ID2 konnen, da 
sie nicht geheim sind, von einer Karte zur einer anderen 
iibennittelt werden. In der Figur wird der Identitatscode ID1 zur 
Karte C2 iibertragen und der Identitatscode ID2 zur Karte CI* 

AuBerdem sind in* jeder dieser Karten CI und C2 krypto- 
graptiische Algorithmen eingespeichert , jeweils mit Dl und CC1 und 
D2 und CC2 bezeichnet • 

Es wird also der durch die Karte CI zur Karte C2 
ubertragene Identitatscode ID1 in den Diversif ikationsalgorithmus 
D2 eingespeist, der in der Chipkarte C2 gespeichert ist, Der 
Diversif ikationsalgorithmus D2 bestimmt aufgrund des so erhaltenen 
Identitatscodes ID1 und des Gruppengeheimschlussels G eine erste 
Geheimzahl NS1. NS1 wird unter der Form NS1 = D2 (G, ID1) ausge- 
driickt. 

Parallel dazu bestimmt dieser Diversif ikations- 
algorithmus D2 aus dem Identitatscode ID2 und dem Gruppengeheim- 
schliissel G eine zweite Geheimzahl NS2 . Diese zweite Geheimzahl 
hat die Form NS2 = D2 (G, ID2) • 

Wenn die beiden Geheimzahlen NS1 und NS2 durch den 
Algorithmus D2 bestimmt worden sind, gewahrleistet eine Add- 
Funktion die Addition dieser " -beiden Geheimzahlen NS1 und NS2 . Die 
aus dieser Addition result ierende Geheimzahl wird mit NS 
bezeichnet. 

Der Schliisselberechnungsalgorithmus CC2 benutzt dann 
die derart berechnete Geheimzahl NS und ebenfalls die durch das 



Inf ormatiksystem gelieferte Zufallszahl NA, urn den Sessions- 
schliissel S2 der Speicherkarte C2 zu erzeugen. 

Diese Diversif ikations- und Schliisselberechnungsalgo- 
rithmen D2 und CC2 werden nicht naher beschrieben, denn sie sind 
clem Fachmann] bekannt und in den oben genannten t>a t ent amne ldungen 
beschrieben. T 

Alle fur die Karte' C2 beschriebenen Operationen. werden 
synunetrisch durch die Karte CI ausgefiihrt. 

So berechnet der in der Karte CI gespeicherte 
Diversif ikationsalgorithmus die erste Geheimzahl NS1 = D1(G, ID1) , ' 
iindem er den zu ihr gehorenden Identitatscode ID1 und den 
Gruppengeheimschliissel G benutzt. Derselbe Diversif ikations- 
algorithmus Dl berechnet andererseits die Geheimzahl NS2 — D1(G, 
ID2) ,. wobei er den von der Karte C2 empfangenen Identitatscode ID2 
und den Gruppengeheimschliissel G " benutzt . Diese .beiden 
Geheimzahlen NS1 und NS2 werden genauso wie in der Karte CI durch 
eine Add-Funktion (oder irgendeine kommutative Operation) addiert, 
torn die Geheimzahl * NS zu liefern. Der Schlusselberechnungs- 
algorithmus cci berechnet dann den Sessionsschlussel SI aus der 
vom Inf ormatiksystem erhaltenen Zufallszahl NA und der Geheimzahl 
NS, berechnet wie vorhergehend beschrieben, 

Zura besseren Verstandnis der Erfindung wurden die 
Diversif ikationsalgorithmen vorhergehend mit Dl und D2 bezeichnet ; 
sie sind jedoch identisch. Dasselbe gilt fur die 
Schltisselberechnungsalgorithmen CCI und CC2, die ebenfalls iden- 
tisch sind, Man begreift, daB logischerweise, wenn die Algorithmen 
Dl und D2 und CCI und CC2 jeweils identisch \sind, die 
Sessionsschlussel, mit der Bezeichnung SI fur den durch die Karte 
CI erhaltenen Schlussel und S2 fur den durch die Karte C2 
erhaltenen Schlussel, ebenfalls identisch sind- Man hat also fur 
die beiden Karten CI und C2 einen gemeinsamen Sessionsschlussel. 

Durch die Lektiire" dieser Beschreibung wird auch klar, 
daB jede. Karte, die den Gruppengeheimschliissel G besitzt, einen 
gemeinsamen Sessionsschlussel mit jeder beliebigen anderen Karte 
derselben Gruppe erstellen kann, d.h. jeder den Geheimschliissel G 
besitzenden Karte. 
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P ATENTANS PRUCHE 

j * 

T 

1. Verwaltungsverf ahiren von Geheimschliisseln zwischen einer 

ersten und einer zveiten Chipkarte (C L , C 2 ) , bei dem ein erster 
Identitatscode (ID1-) in der ersten Chipkarte gespeichert ist und 
ein zweiter Identitatscode (ID2) in der ' zweiten Chipkarte 
gespeichert ist, 

gebildet durch die folgenden Phasen: 

♦ eine Personalisationsphase , folgende Schritte umfassend: 

> Einschreiben desselben ' Gruppengeheimschliissels in jede der 
Chipkarten; 

- Einschreiben eines Verarbeitungsalgorithmus des -Gruppen- 
geheimschliissels ; und der Identitatscodes in jede der 
Chipkarten; 

• eine Benutzungsphase, folgende Schritte umfassend: 

- Ubertragen des ersten Identitatscodes (ID1) zur zweiten 
Chipkarte (C2) ; 

- Ubertragen des zweiten Identitatscodes (ID2) zur ersten 
Chipkarte (CI) ; 

- Ubertragen von ein und derselben Zufallszahl (NA) zu jeder 
der Chipkarten ; * 

- Berechnen, durch die Verarbeitungsalgorithmen , eines ersten 
und eines zweiten Sessions- bzw. Sitzungsschlussels (SI, 
S2) , jeweils in " der ersten und der zweiten Chipkarte, in 
jeder der Chipkarten bestehend aus den Schritten: 

- Anwendung eines Diversif ikationsalgorithmus (Dl, D2) auf- 
grund des ersten und zweiten Identitatscodes (ID1, ID2) und 
des GruppengeheimschKissels , urn eine Geheimzahl (NS) zu 
bestimmen; 

- Anwendung eines Sitzungs- bzw. Sessionsschliissel-Berech- 
nungsalgorithmus (CC1, CC2) aus der Zufallszahl (NA) und 
der Geheimzahl (NS) . 
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2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daJ3 
. der Diversif ikationsalgorithmus darin besteht: 

- eine erste' Geheimzahl (NS1) festzulegen aufgrund des ersten 
Identitatscodes (IDl) und des . in jeder Chipkarte gespeicherten 
Gruppengeheimschliissels , 

- eine zweit^ Geheimzahl (NS1) : festzulegen aufgrund des zweiten 
Identitatscodes (ID2) und des Gruppengeheimschliissels, 

- durch eine kommutative Operation die erste und die zweite. 
Geheimzahl zu kombinieren , urn die Geheimzahl (NS) zu erhalten. 

3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, da/3 
die kommutative Operation, durchgefuhrt mit' der - ersten und zweiten 
Geheimzahl (NS1, NS2), in dem Diversif ikationsalgorith-mus eine 
Addition ist. 

4. Verfahren. nach einem der . Anspruche 1 und 2, dadurch 
gekennzeichnet, da/3 der Diversif ikationsalgorithmus . (Dl,. D2) und 
der Sessionsschlussel-Berechnungsalgorithmus (CC1, CC2) der ersten 
und der zweiten Chipkarte identisch sind, wobei die fur die erste 
und die zweite Chipkarte erhaltenen Sessionsschliissel dann 
identisch sind- 



